部分转自Freebuf网络

一、传播形式

木马病毒传播迅速，主要归因于其传播方式的多样性。内核木马及其他木马病毒的传播方式主要有以下几种：

1、利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就将病毒植入到电脑中。

2、利用系统漏洞进行传播，当计算机存在漏洞，就成为木马病毒攻击的对象。

3、利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，病毒就被激活。

4、利用远程连接进行传播。

5、利用网页进行传播，在浏览网页时会经常出现很多跳出来的页面，这种页面就是病毒驻扎的地方。

6、利用蠕虫病毒进行传播等。

二、危害

木马病毒对用户计算机造成的危害很严重，具体如下：

木马病毒对计算机的直接破坏方式是改写磁盘，对计算机数据库进行破坏，给用户带来不便。当木马破坏程序后，使得程序无法运行，给计算机的整体运行带来严重的影响。

另外，一些木马可以通过磁盘的引导区进行，病毒具有强烈的复制功能，把用户程序传递给外部链接者。还可以更改磁盘引导区，造成数据形成通道破坏。病毒也通过大量复制抢占系统资源，对系统运行环境进行干扰，影响计算机系统运行速度。

三、什么是内核级木马

内核级木马一个无进程、无DLL、无启动项的、集多种Rootkit技术特征的独立功能远程控制后门程序。其利用线程注射DLL到系统进程，解除DLL映射并删除自身文件和启动项，关机时恢复。

它是内核级的木马程序，主要部分工作在Ring0，因此有很强的隐蔽性和杀伤力。

四、内核级木马如何产生

目前，传统应用层木马由于当下一些主动防御软件，杀毒的免费使用，各类反病毒工具对其伎俩了如指掌，而木马能带来巨大危害的主要原因在其隐蔽性。

各类反病毒工具的快速发展就导致木马谋取利益的成本大幅度提高，其带来的利益以及威胁程度呈现逐年下降的趋势。

由于传统应用层木马的隐蔽性大幅度下降，黑客为了提升带来的效益以及获得被控主机更加持久的控制权，因而提升木马的隐藏技术就显得更加迫在眉睫。

内核级木马的隐藏主要使用内核Rootkit技术，内核Rootkit程序在使得远程黑客能够更长期的享有目标机器的底层系统控制权的同时在很大程度上不被杀毒软件发现，从而对被控主机造成更加严重的安全威胁。

此外内核Rootkit不仅仅存在于Windows系统中，同样存在于LINUX等其他系统中。而对于信息安全工作者，找出防御内核级木马的最有效途径自然是要深入了解内核木马的工作机制。

内核Rootkit攻击技术，内核Rootkit隐藏技术，掌握其规律和特性，才能更好的找到应对此类木马的措施，以及对未来可能出现的安全隐患做好一些提前的防备。

五、内核传统木马隐藏技术对比

内核级木马隐藏主要有进程隐藏，文件隐藏，自启动隐藏，通信隐藏等，主要与木马的架构有关，那么对于一些主从型内核级木马，木马涉及到的功能模块越多自然对应涉及的隐藏项也就越多，甚至有时候还要做注册表隐藏，服务隐藏等。

3.1.进程隐藏

进程隐藏最初技术体系为最简单的混淆字符隐藏，如系统进程名为svchost.exe，木马进程名改为svch0st.exe隐藏，紧接着到注册服务隐藏，dll注入隐藏。

现在内核级木马大部分通过进程控制块中的活动进程链表（ActiveProcessLinks）中摘除自身来达到隐藏，或通过从PspCidTable表中摘除自身等方法来达到隐藏目的。

3.2.文件隐藏

文件隐藏最初是通过存放于敏感目录（系统目录）并混淆文件名来实现，后来有些人通过挂钩应用层上的FindFirstFile,FindNextFile等API来实现该目的，现在在内核层隐藏文件方法一般会用FSDHook或FSDInlineHook来实现。

3.3.自启动隐藏

自启动隐藏先后经历了添加注册表Run值，修改系统启动文件，注册为服务，修改定时程序，感染系统文件技术来实现，现在黑客开始

转载请注明:http://www.aideyishus.com/lkgx/2626.html